В 2021 году оператор водоочистной станции в Олдсмаре, Флорида, увидел, как курсор на HMI-панели двигается сам. Кто-то через legacy-инструмент удалённого доступа пытался поднять концентрацию гидроксида натрия с ~100 ppm до 11 100 ppm - уровень, при котором вода становится ядом. В системе не было сегментации OT-сети. Не было мониторинга промышленных протоколов. Не было даже двухфакторной аутентификации. Между 15 000 жителей и катастрофой стояла внимательность одного сотрудника.
Это не аномалия. По данным IBM X-Force Threat Intelligence Index 2025, 70% атак, зафиксированных X-Force в 2024 году, затронули критическую инфраструктуру. Энергосети, водоканалы, нефтехимия, транспорт - всё это давно не "воздушно-изолированные" системы, а цели с измеримой поверхностью атаки.
Эта статья - навигационный хаб по всей карте кибербезопасности критической инфраструктуры. От фундаментальных отличий OT-угроз до конкретных архитектурных решений, от стандартов IEC 62443 и NERC CIP до пентеста SCADA в production-среде. Каждый раздел - точка входа, от которой можно уйти глубже в детальные spoke-материалы.
Карта темы: навигатор по кластеру
Чем OT-угрозы принципиально отличаются от IT: 7 фактов, которые меняют всё
Когда IT-безопасник впервые попадает на промышленный объект, его интуиция подводит. Модели угроз, защитные меры, приоритеты - в OT-среде работает всё наоборот.Приоритет: доступность, а не конфиденциальность. В IT главная ценность - данные, и защита начинается с Confidentiality. В OT приоритеты зеркально инвертированы: доступность (Availability) и целостность (Integrity) важнее всего. Остановка турбины из-за ложного срабатывания IDS - инцидент не менее серьёзный, чем сама атака. Подделанная команда Modbus Write Coil (function code 0x05) на ПЛК, управляющий задвижкой трубопровода, ведёт к физическому разрушению, а не к утечке файлов.
Протоколы без аутентификации. Modbus TCP (порт 502), DNP3, PROFINET, EtherNet/IP - эти промышленные протоколы создавались в 1970–1990-х, когда изоляция была единственной моделью безопасности. Modbus не имеет механизма аутентификации вовсе: любой, кто получил сетевой доступ, может отправить Read Holding Registers (FC 0x03) или Force Single Coil (FC 0x05) без пароля. DNP3 в базовой спецификации - ни аутентификации, ни шифрования. DNP3 Secure Authentication (SA, IEEE 1815) добавляет HMAC для аутентификации сообщений, но не шифрует payload - для конфиденциальности нужен TLS поверх. И SA поддерживается далеко не всеми RTU.
Патч - не вариант. В IT цикл обновлений - дни или недели. В OT контроллер Siemens S7-300, управляющий процессом на нефтеперерабатывающем заводе, может работать без перезагрузки 3–5 лет. Обновление прошивки - полная остановка процесса, согласование с вендором, регрессионное тестирование. На многих объектах стоят инженерные станции с Windows XP, потому что ПО для программирования ПЛК не сертифицировано под более новые версии ОС. И никто не рискнёт это менять, пока работает.
Сканирование = риск аварии. Стандартный
nmap -sV по сегменту с ПЛК Allen-Bradley ControlLogix может вызвать fault-состояние контроллера. Активное сканирование, нормальное в IT, в OT-среде способно обрушить техпроцесс. Поэтому инвентаризация OT-активов делается пассивно - Claroty, Nozomi Networks, Dragos Platform анализируют зеркалированный трафик, не отправляя ни одного пакета в промышленный сегмент.Жизненные циклы 15–25 лет. IT-оборудование обновляется каждые 3–5 лет. ПЛК, RTU, релейные защиты на подстанциях эксплуатируются десятилетиями. На объектах встречается оборудование, для которого производитель прекратил поддержку 10 лет назад, но замена невозможна без полной модернизации техпроцесса.
Стандартные EDR/SIEM слепы в OT. CrowdStrike Falcon, Elastic SIEM, SentinelOne - все они созданы для Windows/(GNU/Linux) endpoint-ов и IP-сетей. Они не понимают Modbus, DNP3, OPC UA. Трафик между HMI и ПЛК по порту 502 для них - просто TCP-сессия. Детектировать нелегитимную запись в Holding Register (FC 0x06) стандартным EDR невозможно - нужны OT-специфичные решения с парсерами промышленных протоколов.
Физический импакт. Компрометация IT-инфраструктуры - утечка данных, финансовые потери, репутационный ущерб. Компрометация OT - взрыв, отравление воды, обесточивание города. TRITON/TRISIS (2017) - малварь, специально разработанная для отключения Safety Instrumented System (SIS) Schneider Electric Triconex на нефтехимическом предприятии. Цель атакующих - не остановить процесс, а создать условия для физической аварии.
Подробный разбор реальных атак с детальным описанием TTP: Атаки на SCADA системы: разбор взломов водоочистных станций и detection-playbook для OT-сети
Анатомия OT-инфраструктуры: SCADA, ICS, DCS и где скрывается риск
Путаница в терминах убивает проектную коммуникацию. Разберём архитектуру без воды.
OT (Operational Technology) - зонтичный термин для всех систем, управляющих физическими процессами: оборудование, сети, протоколы, люди и процедуры.
ICS (Industrial Control Systems) - подмножество OT. Системы, непосредственно контролирующие промышленные процессы: ПЛК, DCS (распределённые системы управления), SIS (системы противоаварийной защиты) и SCADA.
SCADA (Supervisory Control and Data Acquisition) - класс ICS для диспетчерского управления географически распределёнными объектами. Центральный диспетчерский пункт, удалённые RTU/IED на подстанциях или насосных станциях, каналы связи (выделенные линии, MPLS, радио, сотовая связь, спутник).
Где концентрируется риск - не в контроллерах. На практике наибольшая экспозиция возникает на стыках:
- Удалённый доступ, обходящий сегментацию: VPN-туннели вендоров, RDP-сессии интеграторов, модемы для обслуживания
- Инженерные станции, которые "ходят" в несколько зон: ноутбук инженера со Step 7 для Siemens и RSLogix для Allen-Bradley подключается и к корпоративной сети, и к промышленному сегменту
- Historian-серверы - мосты между IT и OT, принимающие данные из контроллеров и отдающие их в корпоративную аналитику
- "Временные" подключения, ставшие постоянными: ноутбук подрядчика, подключённый "на время пусконаладки" и оставленный в сети на год
Подробнее об архитектурных уровнях и зонах: Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
Угрозы OT: 5 векторов, через которые ломают критическую инфраструктуру
Атакующие редко начинают непосредственно в контроллерной сети. Цепочка атаки идёт от первоначального доступа к IT через lateral movement до воздействия на техпроцесс.Вектор 1: удалённый доступ к OT (MITRE ATT&CK T1133 - External Remote Services)
Вендорские VPN, jump-серверы, RDP-шлюзы, модемы для обслуживания - всё, что создаёт канал из внешнего мира в OT-сегмент. В Олдсмаре, по версии FBI/CISA (AA21-042A), злоумышленник использовал TeamViewer с разделяемыми учётными данными и без MFA. Окончательная атрибуция инцидента остаётся предметом дискуссии. Но картина типичная: общие учётки, отсутствие MFA, неконтролируемые always-on VPN-туннели.Вектор 2: pivot из IT в OT (MITRE ATT&CK T1210 - Exploitation of Remote Services)
Плоская маршрутизация между корпоративным и промышленным сегментами, permissive правила на межсетевом экране, dual-homed хосты (инженерная станция с двумя сетевыми интерфейсами), Historian-серверы, принимающие inbound-соединения из IT - всё это превращает бумажную сегментацию в фикцию. Злоумышленник, скомпрометировавший рабочее место бухгалтера через фишинг, при плоском сегменте оказывается в нескольких хопах от ПЛК.Детальный разбор техник: Lateral Movement из IT в OT: техники пентеста промышленных сетей
Вектор 3: компрометация инженерной станции
Фишинг (T1566), эксплуатация браузера (T1189 - Drive-by Compromise), supply chain через вендорский софт (T1195), заражённые USB-носители (T1091). Инженерная станция - самый "вкусный" актив: на ней стоит ПО для программирования ПЛК, и с неё легитимно загружается управляющая логика. Скомпрометировал этот хост - получил прямой путь к модификации техпроцесса.Вектор 4: злоупотребление промышленными протоколами (MITRE ATT&CK T1565.002 - Transmitted Data Manipulation)
Внутри OT-сети протоколы Modbus, DNP3, EtherNet/IP доверяют всем участникам сети. Неаутентифицированные управляющие команды, cleartext-передача, отсутствие верификации источника - атакующий с сетевым доступом может слать произвольные Write-команды на ПЛК. Industroyer2 (2022) показал, что противник строит инструменты, заточенные под конкретный протокол IEC 104, используемый на электроподстанциях.Вектор 5: подключения третьих сторон и временная инфраструктура
Ноутбуки подрядчиков, "временные" support-туннели, неуправляемые коммутаторы, ad hoc Wi-Fi точки доступа. Активы, которых нет в CMDB, соединения, которых нет на схеме. Одного забытого support-канала хватит, чтобы превратить сегментированную архитектуру в единую зону.Подробнее о VNC как типичном примере такого вектора: VNC без аутентификации в промышленных системах: от разведки Shodan до контроля HMI
Архитектура защиты OT: Purdue Model, промышленная DMZ и сегментация
Сегментация сети - защитная мера с лучшим соотношением эффективности к стоимости в промышленных средах. Архитектурная основа - модель Purdue (ISA-95) или зонно-кондуитная архитектура ISA/IEC 62443.
Уровни Purdue Model
- Level 0–1: Физический процесс, датчики, исполнительные механизмы, ПЛК, RTU
- Level 2: Диспетчерское управление - HMI, SCADA-серверы, инженерные станции
- Level 3: Операции производственной площадки - Historian, MES, управление патчами OT
- Level 3.5 (DMZ): Промышленная демилитаризованная зона между IT и OT
- Level 4–5: Корпоративная IT-сеть - ERP, электронная почта, интернет
Практический чеклист: что должно быть реализовано
- Физическая или логическая сегментация между каждым уровнем Purdue со строгой фильтрацией трафика на границах
- Промышленная DMZ (Level 3.5) с прокси-серверами и data diodes для передачи телеметрии из OT в IT - без прямых inbound-соединений из корпоративной сети
- Protocol-aware межсетевые экраны (не только по номерам портов, а с инспекцией промышленных протоколов: фильтрация по function codes Modbus, объектам DNP3)
- Выделенные jump-серверы в OT DMZ для удалённого доступа с обязательной MFA, записью сессий и just-in-time provisioning
- Однонаправленные шлюзы (data diodes) там, где двунаправленная связь не нужна
- Отключение USB-портов на HMI и инженерных станциях, application whitelisting, удаление ненужных сервисов
- Запрет always-on VPN-туннелей в промышленный сегмент - только сеансовый доступ с одобрением
Полный архитектурный разбор: Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
Стандарты и фреймворки: IEC 62443, NERC CIP и NIST CSF 2.0 для OT
Стандарты - не "бумажная" безопасность. При правильном применении они дают структуру, без которой защита превращается в хаотичный набор мер.IEC 62443 - стандарт де-факто для промышленной автоматизации
Серия ISA/IEC 62443 задаёт зонно-кондуитную модель, уровни безопасности (Security Levels SL 1–4) и требования ко всей цепочке: от владельца актива до производителя компонентов. На практике IEC 62443 - документ, который кладёшь на стол, когда проектируешь архитектуру защиты конкретного объекта. SL-1 - базовая защита от случайных нарушений, SL-4 - защита от государственных APT-группировок с целевыми инструментами. Между ними - два уровня, и правильный выбор SL для конкретной зоны определяет весь бюджет проекта.NERC CIP - обязательный стандарт для электроэнергетики
North American Electric Reliability Corporation Critical Infrastructure Protection - набор обязательных стандартов для энергосистем. В России прямого аналога нет, но принципы NERC CIP (инвентаризация BES Cyber Assets, управление электронными периметрами, требования к физической безопасности, incident response) применяются при проектировании защиты энергетических объектов, согласно ФСТЭК и отраслевым требованиям.NIST CSF 2.0 - шесть функций для OT
В феврале 2024 года NIST выпустил обновлённый Cybersecurity Framework 2.0 с шестью ядровыми функциями: Govern, Identify, Protect, Detect, Respond, Recover. Добавление функции Govern - ключевое изменение для OT: оно формализует то, что зрелые программы OT-безопасности понимали интуитивно - устойчивая безопасность требует организационных обязательств, а не только технических контролей.NIST CSF 2.0 явно ссылается на NIST SP 800-82 Rev.3 как сопутствующее руководство для ICS. Безопасность OT не закрывается одним "универсальным" документом.
Применение шести функций к промышленным средам:
| Функция | Что это значит для OT | Типичная ошибка |
|---|---|---|
| Govern (GV) | OT-политика кибербезопасности с учётом требований доступности процесса | Применение IT-политики без адаптации к OT-контексту |
| Identify (ID) | Пассивная инвентаризация всех ПЛК, RTU, HMI, historian, инженерных станций | Активное сканирование, вызывающее fault-состояния |
| Protect (PR) | Сегментация, MFA для удалённого доступа, data diodes, application whitelisting | "Плоская" сеть с firewall только на границе IT/OT |
| Detect (DE) | OT-специфичный мониторинг с парсингом промышленных протоколов | Стандартный SIEM без понимания Modbus/DNP3 |
| Respond (RS) | Incident response plan, учитывающий непрерывность техпроцесса | Автоматическая блокировка хоста, останавливающая критический процесс |
| Recover (RC) | Восстановление с верифицированными бэкапами логики ПЛК | Отсутствие бэкапов конфигурации контроллеров |
Российский регуляторный контекст
В РФ защита объектов критической информационной инфраструктуры (КИИ) регулируется ФЗ-187 «О безопасности КИИ» и подзаконными актами, включая приказы ФСТЭК. Для промышленных межсетевых экранов применяются профили защиты МЭ типа Д (промышленные сети) согласно требованиям ФСТЭК (Приказ №9 от 09.02.2016) с сертификацией по соответствующему классу защиты. Требования к безопасности АСУ ТП определены в приказе ФСТЭК №31.Пентест промышленных систем: зачем ломать то, что нельзя останавливать
Пентест OT - не "запусти nmap и жди результат". Это дисциплина, где ошибка тестировщика может привести к физическому инциденту. При этом без пентеста невозможно доказать, что архитектура защиты реально работает, а не просто красиво выглядит на схеме.Kill chain OT-пентеста
Полный цикл атаки на промышленную инфраструктуру проходит через несколько фаз:- Разведка и начальный доступ (MITRE ATT&CK T1190 - Exploit Public-Facing Application): сканирование периметра корпоративной сети, поиск VPN-шлюзов, RDP, торчащих наружу Historian-серверов
- Закрепление в IT-сегменте (T1078 - Valid Accounts): компрометация учётных записей, поиск dual-homed хостов, серверов с доступом в DMZ
- Lateral Movement в OT (T1210 - Exploitation of Remote Services): переход через DMZ, компрометация jump-серверов, инженерных станций
- Разведка OT-сети: пассивный перехват трафика, идентификация ПЛК, HMI, протоколов
- Воздействие на техпроцесс (T1565.002 - Transmitted Data Manipulation): чтение/запись регистров ПЛК, модификация уставок, подмена показаний
Ограничения и правила безопасного тестирования
- Активное сканирование OT-сегмента - только после согласования с инженерами техпроцесса и только для конкретных IP-адресов
- Запись в регистры ПЛК - только на тестовом стенде или с подтверждением того, что конкретный регистр не связан с критическим процессом
- Эксплуатация уязвимостей - предпочтение отдаётся proof-of-concept, демонстрирующему возможность, а не полной цепочке
- Тестирование на действующих объектах - только в согласованные окна обслуживания с физическим присутствием инженера-технолога
Полная методология пентеста промышленных систем: OT пентест критической инфраструктуры: kill chain от корпоративной сети до ПЛК
Практическое руководство по тестированию SCADA-протоколов: Пентест SCADA систем: от Modbus-разведки до контроля ПЛК в production-среде
Детальный kill chain до уровня регистров: Пентест АСУ ТП: kill chain от корпоративной сети до регистров контроллера
Ransomware в OT: почему промышленные предприятия - приоритетная цель
Ransomware-группировки целенаправленно бьют по промышленным предприятиям. Логика простая: остановка производства обходится в миллионы за час, и руководство платит быстрее, чем в банковском секторе. Группа Play (по данным ransomware.live за 2026 г.) активно атакует промышленные и производственные сектора - среди жертв corleymfg.com (Manufacturing), urschel.com (Agriculture and Food Production). Фокус на отраслях с высокой ценой простоя - не случайность, а бизнес-модель.Как ransomware попадает от Exchange-сервера до контроллера
Типичная цепочка: фишинг -> компрометация рабочей станции в IT -> lateral movement через Active Directory -> обнаружение dual-homed хоста или Historian-сервера -> переход в OT DMZ -> шифрование HMI и SCADA-серверов. Контроллеры (ПЛК) обычно не шифруются напрямую - у них нет файловой системы в привычном смысле. Но шифрование HMI и Historian делает процесс "слепым": операторы теряют визуализацию и телеметрию. Представьте: вы управляете электростанцией, а все экраны чёрные.В наиболее деструктивных сценариях (MITRE ATT&CK T1489 - Service Stop, T1485 - Data Destruction) атакующие не просто шифруют, а уничтожают конфигурации и бэкапы проектов ПЛК. Восстановление инженерного проекта для крупного объекта с нуля может занять недели.
Чеклист защиты от ransomware в OT
- Offline-бэкапы проектов ПЛК (программная логика, конфигурации) - вне сетевого доступа
- Отдельный Active Directory для OT или полная изоляция от корпоративного домена
- Application whitelisting на HMI и инженерных станциях
- Мониторинг SMB-трафика на границе IT/OT DMZ - признак lateral movement
- Регулярные табличные учения (tabletop exercises) с участием инженеров-технологов, а не только ИТ-команды
- Физическая доступность ключей и переключателей для ручного управления процессом при полной потере SCADA
APT-группировки против промышленных систем: от Industroyer до целевых атак на ПЛК
Государственные APT-группировки строят инструменты, специально спроектированные для воздействия на OT. Это не адаптация IT-малвари - это целевая разработка для конкретных промышленных протоколов и оборудования.
Industroyer/CrashOverride (связан исследователями ESET и Dragos с атакой на украинскую энергосистему в декабре 2016 г., публично раскрыт в 2017 г.) - модульная малварь с компонентами для протоколов IEC 60870-5-101, IEC 60870-5-104, IEC 61850 и OPC DA. Четыре протокола - четыре модуля. Кто-то потратил месяцы на реверс каждого из них.
Industroyer2 (2022) - упрощённая, но более целевая версия, работающая напрямую с IEC 104 на подстанциях. Анализ ESET и CERT-UA показал, что атака была направлена на украинскую электроподстанцию в апреле 2022 г. и должна была обесточить регион.
TRITON/TRISIS (2017) - малварь для Safety Instrumented Systems Schneider Electric Triconex. Цель - не остановить процесс, а отключить систему безопасности, чтобы при следующем нарушении техрежима не сработала аварийная защита. Это как вырезать подушку безопасности перед тем, как подстроить аварию.
Иранские APT-группировки целенаправленно атакуют промышленные ПЛК водоочистных и энергетических объектов. TTP включают эксплуатацию публично доступных HMI-интерфейсов, использование дефолтных паролей и прямое взаимодействие с контроллерами.
Подробный разбор TTP и detection engineering: Иранские APT атакуют промышленные ПЛК: разбор TTP и Detection Engineering для OT/ICS-сред
Мониторинг и обнаружение угроз в OT: что работает, а что нет
Детектирование атак в промышленных сетях принципиально отличается от IT-мониторинга. Стандартный SIEM, настроенный на Windows Event Log и неудачные попытки аутентификации, "не видит" OT-трафик - вообще.Что реально работает
Пассивный мониторинг промышленного трафика. Claroty, Nozomi Networks, Dragos Platform подключаются к SPAN-порту промышленного коммутатора и анализируют зеркалированный трафик. Они понимают Modbus, DNP3, OPC UA, EtherNet/IP, S7comm и строят baseline нормального поведения: какой HMI общается с каким ПЛК, по какому протоколу, с какой периодичностью, какие function codes используются. Аномалия - например, появление Write Multiple Registers (FC 0x10) от IP-адреса, который раньше только читал - генерирует алерт.Baseline коммуникационных паттернов. В OT-среде трафик предсказуем: SCADA-сервер опрашивает RTU каждые 2 секунды, инженерная станция подключается к ПЛК только во время планового обслуживания. Любое отклонение - новый источник запросов, нетипичный function code, обращение к ранее нетронутому регистру - потенциальный индикатор.
Интеграция с SIEM. Алерты из OT-мониторинга передаются в корпоративный SIEM (MaxPatrol SIEM, KUMA) для корреляции с IT-событиями. Это позволяет связать фишинговое письмо в 10:00, lateral movement через RDP в 10:15 и появление нового хоста в OT-сегменте в 10:30 в единую цепочку.
Где мониторинг буксует
Мониторинг показывает, что аномалия произошла. Он не доказывает, что конкретный путь атаки реально эксплуатируем. Уязвимость в ПЛК, найденная сканером, может быть недостижима из-за сегментации - или достижима через цепочку из пяти хопов, которую мониторинг не покрывает. Для проверки реальной эксплуатируемости нужна валидация - пентест или моделирование атаки на цифровом двойнике. Мониторинг без пентеста - как охранная сигнализация без проверки: стоит, мигает, а работает ли - никто не знает.Безопасность OT по секторам: энергетика, водоснабжение, нефтехимия, производство
Каждый сектор критической инфраструктуры имеет свои ограничения и приоритеты.Электроэнергетика
Географически распределённые объекты (подстанции, генерирующие мощности), протоколы IEC 61850 и IEC 104, требования NERC CIP (в Северной Америке) или отраслевых стандартов. Уровень зрелости выше, чем в других секторах, но огромная поверхность атаки из-за количества удалённых площадок. Каналы связи между подстанциями - выделенные линии, MPLS, радиорелейка - каждый из них потенциальный вектор.Водоснабжение и водоочистка
Ограниченные ресурсы (бюджеты на ИБ минимальны по сравнению с энергетикой), удалённые насосные станции с telemetry по сотовой связи, legacy-оборудование без возможности обновления. Инциденты в Олдсмаре и других водоканалах показали, что этот сектор - "мягкая цель" с потенциально катастрофическими последствиями.Нефтехимия
Сложные техпроцессы с Safety Instrumented Systems (SIS), высокие штрафы за простой, жёсткое регулирование. TRITON/TRISIS был нацелен именно на этот сектор. Особенность - процессы непрерывного цикла, где перезагрузка оборудования может потребовать дней пусконаладки.Дискретное производство (Industry 4.0)
Активное внедрение IIoT (промышленного интернета вещей), конвергенция IT и OT для аналитики, MES-системы. Каждый новый IoT-датчик расширяет поверхность атаки. Производственные линии с роботизированными ячейками на PROFINET или EtherNet/IP - среда, где задержка в миллисекунды критична, а inline-security appliance может нарушить работу.Практический чеклист: 12 мер защиты критической инфраструктуры, которые реально работают
Этот чеклист можно передать ответственному за OT-безопасность как план действий. Не теория - конкретные шаги.- Пассивная инвентаризация OT-активов - развернуть Claroty/Nozomi/Dragos на SPAN-порту промышленного коммутатора, получить полную карту активов и коммуникаций
- Сегментация IT/OT - промышленная DMZ со строгими правилами фильтрации, запрет прямых соединений IT→OT
- MFA для удалённого доступа в OT - выделенные jump-серверы в DMZ, запись сессий, just-in-time provisioning
- Отключение ненужных сервисов на HMI и инженерных станциях (RDP, HTTP-сервер WinCC, неиспользуемые порты)
- Application whitelisting на инженерных станциях и HMI
- Offline-бэкапы проектов ПЛК и конфигураций - регулярно, с проверкой целостности, вне сетевого доступа
- Мониторинг промышленного трафика с детектированием аномалий на уровне function codes
- Управление учётными записями - ликвидация дефолтных паролей на HMI, SCADA-серверах, ПЛК (где поддерживается)
- Контроль USB-портов - организационный и технический запрет на неавторизованные носители
- Табличные учения (tabletop exercises) - ежеквартально, с участием инженеров-технологов, ИБ-команды и руководства
- Проверка удалённого доступа - аудит всех VPN-туннелей, модемов, TeamViewer-подобных инструментов, удаление неиспользуемых
- Пентест OT - ежегодно, с привлечением специалистов, имеющих опыт работы с промышленными протоколами, в согласованные окна обслуживания
Куда движется промышленная кибербезопасность
Конвергенция IT и OT необратима. Промышленный IoT, облачная аналитика, цифровые двойники, удалённые операции - поверхность атаки расширяется быстрее, чем организации успевают внедрять защиту. CISA в KEV catalog продолжает добавлять уязвимости ICS-компонентов (Siemens, Rockwell, Schneider Electric и др.) - актуальный список доступен на cisa.gov/known-exploited-vulnerabilities-catalog.Три тренда, которые определят ближайшие два года:
Рост целевых атак на OT. Порог входа снижается. Раньше для атаки на ПЛК нужна была специализация уровня государственной APT-группировки. Сейчас инструменты для взаимодействия с промышленными протоколами доступны в open source - бери и пользуйся.
Переход к Zero Trust в OT. Модель "доверенная сеть" для OT умирает. Даже внутри промышленного сегмента внедряются принципы микросегментации, верификации каждого соединения, мониторинга east-west трафика. Медленно, болезненно, но неизбежно.
Автоматизация compliance. IEC 62443, NERC CIP, отраслевые требования ФСТЭК - объём compliance-обязательств растёт. Организации, которые не автоматизируют процесс оценки соответствия, утонут в ручной отчётности.
Развивайте экспертизу в промышленной кибербезопасности
Защита критической инфраструктуры требует специалистов, которые понимают и IT-безопасность, и промышленные процессы. Если хотите освоить пентест OT-систем, анализ промышленных протоколов и построение архитектуры защиты АСУ ТП на практике - на курсах Codeby Academy по наступательной и защитной безопасности промышленные среды разбираются на реальных стендах.Заключение
Большинство организаций, эксплуатирующих критическую инфраструктуру, живут в парадоксе: знают, что OT-сеть уязвима, и одновременно убеждены, что "air gap" или "межсетевой экран на границе" их защищает. На практике air gap - миф. За последние пять лет мне не встретился ни один объект, где промышленная сеть была бы по-настоящему изолирована. Везде находится Historian, принимающий данные из ПЛК и отдающий их в корпоративную аналитику. Везде есть инженерная станция, подключённая и к домену Active Directory, и к PROFINET-сегменту. Везде - "временный" VPN-туннель вендора, открытый два года назад и забытый.Проблема не в отсутствии технологий защиты - Claroty, Dragos, Nozomi существуют и работают. Проблема - в организационном разрыве между командой ИБ, которая мыслит категориями CVE и патчей, и командой АСУ ТП, которая мыслит категориями uptime и регламентов. Пока эти две группы говорят на разных языках и подчиняются разным руководителям, защита остаётся фрагментарной.
В ближайшие два года те, кто не выстроят единую governance-структуру с участием обеих команд (функция Govern из NIST CSF 2.0 - не для галочки), будут учиться на собственных инцидентах. А инциденты в OT - это не утечка базы данных, которую можно замять пресс-релизом. Это остановка производства, экологический ущерб и вопросы от прокуратуры. Начните с инвентаризации: пассивное сканирование OT-сети за одну-две недели покажет реальную картину. И она почти гарантированно будет отличаться от того, что нарисовано на архитектурной схеме.
Последнее редактирование модератором:
